Proteger tu empresa si hasta al padre de la Web le roban la contraseña.
Cuando al mismísimo padre Web, sir Tim Berners-Lee, le han podido robar la contraseña para acceder a los recursos informáticos de la organización que gobierna la Web, el consorcio W3C, está claro que no hay empresa o institución libre de caer en las garras de un atacante.
Todas se enfrentan a un mismo problema: la cadena es solo tan segura como el más débil de sus eslabones. Hacerse con la clave de un único empleado, sobre todo si su nivel de acceso es elevado (por ejemplo, un directivo) es suficiente para que un cibercriminal encuentre la forma de colarse en los sistemas de la compañía entera.
Según un reciente informe de la Cloud Security Alliance (CSA), casi una cuarta parte (22%) de las brechas informáticas en las empresas tiene su origen en la filtración de una sola contraseña. Además, el 65% de los participantes en el estudio creen que el riesgo de sufrir una intrusión en el futuro por culpa de una clave comprometida es medio o elevado.
En el caso de Tim Berners-Lee, como en muchos otros, la mala pasada se podría haber evitado fácilmente. Si un atacante logró acceder con la cuenta del padre de la Web a la trastienda del W3C fue porque empleaba la misma contraseña que en el chat IRC para comunicarse con su equipo.
Aprovechando una mala configuración de dicha herramienta, el intruso se hizo con las credenciales de Berners-Lee y ya no tuvo que robar nada más: la misma llave abría sin problemas las demás puertas. Incluso pudo colarse en el panel de edición de la web y retocar el perfil del fundador para dejar su sello (cifrado) y demostrar que había estado allí.
Para evitar este tipo de sustos, una medida sencilla y eficaz que deberían seguir todos los trabajadores de tu empresa es elegir una clave diferente para cada servicio. Así, si roban una de sus contraseñas, al menos no tendrán acceso al resto recursos de la organización.
También conviene recurrir a soluciones de seguridad específicas para la empresa, como Panda Adaptive Defense 360, capaces de combatir el robo de información corporativa frente a amenazas tanto externas (como el atacante del W3C) como internas (por ejemplo, un trabajador que intenta robar datos o propiedad intelectual).
Fuente FBFP